Noticias

Indicadores de riesgos determinan inversiones

Entrevista a Andrés Gil, Socio Líder de Servicios CYBER para Argentina y región LATCO

Revista Mercado - En la última encuesta de seguridad y ciberriesgos en Latinoamérica realizada por la consultora Deloitte surgió que el nivel de inversión aumenta respecto de años anteriores, proceso consistente con el aumento de incidentes. A nivel general, las organizaciones utilizan algún indicador de riesgos (ejemplo: resultados de ejecutar pruebas de análisis de vulnerabilidades) o la propia experiencia de haber sufrido un incidente para determinar inversiones en seguridad. Y para el caso de ser reguladas, se guían por los requerimientos específicos de las normas y/o leyes que se les aplican, según detalla Andrés Gil, socio líder de Cyber Risk para Deloitte Latinoamérica. Aunque los CISO (Chief Information Security Officer, o director de seguridad de la información) siguen reclamando por presupuesto para atender gaps en controles y tener capacidad de respuesta ante incidentes, la cuenta siempre depende de la criticidad del activo de información y del proceso de negocio afectado. Sin embargo, muchas organizaciones protegen de la misma forma todos sus activos sin clasificarlos, sin identificar lo que en Deloitte llamamos `joyas de la corona`, que serían esos activos críticos a proteger y monitorear. Como consecuencia de estas prácticas, puede haber desinversión en ciertas áreas y sobreinversión en otras, sin tener en cuenta un punto óptimo de retorno de la inversión. Los CISO son conscientes en general de esta debilidad pero muchas veces les resulta muy complejo tener un adecuado inventario y clasificación de activos que les permita definir medidas específicas de seguridad y costo eficiente. `En nuestra última encuesta, la inversión en IT que se destina a la ciberseguridad nos dio en promedio 4 a 6%; con algunos sectores, como el bancario, que invierte más, registrando picos de hasta 15%`, señala. El porcentaje depende de varios factores, fundamentalmente de la industria, de que partidas se incluyen dentro del presupuesto de seguridad y cuales en TI (ejemplo: ¿un firewall se cuenta como parte del costo seguridad o de TI?) y obviamente del nivel de madurez. Muchas organizaciones están invirtiendo fuerte en seguridad porque tienen que `recuperar` la baja inversión del pasado: otras en cambio están sacando provecho de inversiones en tecnología que ya hicieron. El nivel de inversión adecuado de una organización debería surgir de una estrategia de seguridad clara, un nivel de riesgo consensuado con el negocio y de la madurez de la organización en temas de seguridad, concluye Gil.

Media Contact:

Pizzorno, María Luz
Prensa
mpizzorno@deloitte.com

¿Encontró útil el contenido?